Уже давно у этого сниффера пакетов не работает обход шифрации, потому что он был написан xkor в 2007 году (вроде).
Насколько мне не изменяет память, у хлапы была возможность самостоятельно разработать модуль расшифровки пакетов - что позволяло вручную ковыряться в хлапе и отправлять пакеты, методом изменения памяти клиента ( тотже HxD)
Для того, чтобы в современных реалиях использовать на разных говноявах со смарт-гуардом, нужно обладать недюжинными знаниями.
Поправьте меня, может я уже ошибаюсь, последний раз я ковырялся в хлапе в 2017 году, когда дюпал адену на какомто ИЛе ради любопытства.
Итак, нужно знать, как:
найти в защите обертку, внутри которой идет джамп на оригинальную функцию.
Выявить обработчик, куда уходит тот самый джамп
Определит как защита проверяет функцию (обычно это первые 10-20 байт)
Уметь перезаписать функцию с обманом перехвата функции
Разобраться как обертка джамп передает настоящую функцию и что именно пихать в обработчик (значение)
Уметь грамотно обработать пакет, чтобы не боятся за стек и возвращение управления к врапперу
Ах да, это только перехват пакетов сервер-клиент
А для того, чтобы дюпнуть какую-нибудь плюху, нужны пакеты клиент-сервер, а тут нужно понимать:
Как получить адрес сендпакета, который вытягивает из стека первого аргумента (маски)
Как как сендпакет в 99,99% случаях - это тоже обертка, в которой находится jmp на основную функцию, которая еще и прыгает на обработчик шифрации пакета - еще бороться с обфускацией и восстанавливать поток управления
По факту, для того, чтобы обмануть защиту - нужно жопным методом изменить права на страницу памяти - изменив атрибут страницы, где находится процедура, будет генерироваться исключение
И здесь нужно уметь правильно обрабатывать исключение - теми же самостирающимися хуками в мусорных инструкциях.
Короче, я чтото расплылся в воспоминаниях и нить потерял, ВКРАТЦЕ - нужно уметь менять атрибуты страницы и устанавливать обработчик исключений, восстанавливать оригинальные атрибуты и подсовывать свои хуки, подделывать адреса возврата при вызове функции, подделывать адресное пространство аргументов передаваемых в функцию, совершать вызов из основного потока
ЗЫ тестил вроде на смарт гуарде
НАДЕЮСЬ АВТОР ВСЕ ПОНЯЛ И ПРИСТУПИЛ К ГРАНДИОЗНЫМ ДЮПАМ
